Il write blocker è uno strumento fondamentale in ambito di informatica forense, progettato per garantire l’integrità dei dati durante l’acquisizione di dispositivi di memoria come hard disk, SSD, chiavette USB o schede di memoria (MicroSD, Secure Digital, CompactFlash, etc…). La sua funzione è impedire in modo assoluto qualsiasi scrittura sul dispositivo analizzato, permettendo solo la lettura dei dati, così come tra l’altro previsto dalla Legge 48 del 2008. Questo principio è cruciale per evitare l’alterazione accidentale o involontaria delle prove digitali, che può essere causata ad esempio anche soltanto dall’apertura di un file.
Spesso i write blocker vengono utilizzati per produrre copie forensi di hard disk, tipicamente con interfacce SATA, ma sono frequenti anche write blocker USB o con altre interfacce di comunicazione.
Come funziona un write blocker
Il write blocker inibisce, in sostanza, i comandi di scrittura impartiti volontariamente o accidentalmente/automaticamente (es. mount di una partizione) su un dispositivo di memoria. Esistono due principali tipologie di write blocker:
- write blocker hardware: un dispositivo fisico che si interpone tra il computer del consulente informatico forense e il supporto da esaminare. Blocca a livello “elettronico” o “fisico” tutti i comandi di scrittura, consentendo solo operazioni di lettura sul device.
- write blocker software: è un’applicazione che, se correttamente configurata, intercetta e blocca le richieste di scrittura a livello del sistema operativo. È meno affidabile di un write blocker hardware e, in ambiti forensi formali, viene usato solo in contesti specifici o come misura supplementare o temporanea.
A cosa serve un write blocker
Il write blocker può avere diverse funzionalità e modalità di utilizzo, in generale piò servire per:
- Tutela dell’integrità probatoria: è essenziale che i dati originali non vengano alterati durante l’acquisizione o l’analisi, il write blocker protegge da modifiche involontarie dovute al sistema operativo, a software antivirus o ad errori umani.
- Conformità normativa: in molte giurisdizioni e secondo gli standard internazionali di informatica forense (ad es. ACPO, SWGDE, etc…) l’uso di write blocker è richiesto per garantire la validità legale delle acquisizioni digitali e l’utilizzo in Tribunale delle prove digitali acquisite tramite copia forense.
- Verifica immediata del contenuto: permette all’analista di accedere in sola lettura al contenuto di un dispositivo, anche prima di effettuare una copia forense completa (immagine bit-a-bit) utile nella fase del cosiddetto “triage” durante la quale si è interessati, ad esempio, a valutare il contenuto di un reperto per stabilire se copiarlo o meno.
Le live distro forensi basate su Linux o Windows: CAINE, Tsurugi, Paladin, WinFE
Le live distro forensi sono sistemi operativi avviabili da supporti esterni (come chiavette USB, CD o DVD) progettati per eseguire attività di digital forensics su macchine sospette senza alterarne i dati. Avviando il sistema direttamente da una distribuzione live, è possibile analizzare i contenuti del computer in modalità forense, evitando scritture accidentali sul disco interno. Tra le più conosciute in ambito Linux ci sono CAINE (Computer Aided INvestigative Environment), sviluppata in Italia e dotata di una suite completa per l’analisi di dischi, file di log e memory dump, Tsurugi Linux, focalizzata su investigazioni digitali e OSINT, e Paladin, apprezzata per la semplicità d’uso e il supporto a investigatori meno esperti.
In ambito Windows, la più nota è WinFE (Windows Forensic Environment), una versione modificata di Windows PE (Preinstallation Environment) che consente l’accesso in sola lettura ai dischi e l’esecuzione di strumenti forensi nativi. Le live distro sono particolarmente utili per il triage sul campo, per analisi rapide e per l’acquisizione di sistemi non avviabili o compromessi, mantenendo al contempo l’integrità delle evidenze digitali.
Quanto costa un write blocker
Il costo di un write blocker varia in base al tipo, alla marca e alla compatibilità con i supporti da analizzare, possono esistere write blocker USB, SATA, SAS, Firewire, ZIF, PCIe M.2 NVMe, AHCI PCIe, mini-PCIe express card, condivisioni di rete SMB/CIFS o che supportano diverse interfacce.
In genere, il prezzo di un writeblocker dipende dalla velocità di copia, dalla precisione del display, dalle funzionalità e dalla compatibilità con diverse interfacce o supporti e può variare dai 200 a diverse migliaia di euro.
| Tipo | Fascia di Prezzo | Esempi di Prodotti |
|---|---|---|
| Hardware USB/SATA | 200 – 600 € | Tableau T35u, Wiebetech USB WriteBlocker |
| Hardware universale | 600 – 1500+ € | Tableau Forensic Bridge, Logicube Falcon |
| Software (free/paid) | 0 – 100 € | USB Write Protect, SAFE Block, Disk Arbitrator |
| Forensic Distro Live CD/USB | 0 – 100 € | Caine Linux, Tsurugi Linux, DEFT Linux, WinFE, Paladin |
I write blocker si trovano spesso nel mercato dell’usato, dove il prezzo di un write blocker può scendere parecchio, perché ne vengono prodotte versioni sempre più aggiornate ma anche i write blocker datati – seppur più lenti e con meno interfacce – possono essere comunque una buona scelta di acquisto perché appunto possono avere un costo notevolmente ridotto rispetto all’acquisto di un write blocker nuovo.
Meglio un write blocker hardware o un write blocker software?
La questione “Write blocker hardware Vs write blocker software” emerge spesso quando si deve decidere quale write blocker acquistare e quanto spendere. Per indagini forensi professionali, si consiglia fortemente l’utilizzo di write blocker hardware che siano certificati o comunque con una consolidata reputazione, perché diffusi, presenti da tempo sul mercato e utilizzati dai consulenti informatici forensi nelle attività di perizia informatica.
Se desideri approfondire o ricevere una consulenza sull’acquisto, sul prezzo e sull’utilizzo di write blocker, contattaci: il nostro team forense è a disposizione per fornire supporto tecnico e operativo.